KR100820671B1 - 네트워크상에서의 디바이스에 대한 액세스 권한 설정과디바이스간의 인증을 위한 방법 및 장치 - Google Patents
네트워크상에서의 디바이스에 대한 액세스 권한 설정과디바이스간의 인증을 위한 방법 및 장치Info
- Publication number
- KR100820671B1 KR100820671B1 KR1020050082247A KR20050082247A KR100820671B1 KR 100820671 B1 KR100820671 B1 KR 100820671B1 KR 1020050082247 A KR1020050082247 A KR 1020050082247A KR 20050082247 A KR20050082247 A KR 20050082247A KR 100820671 B1 KR100820671 B1 KR 100820671B1
- Authority
- KR
- South Korea
- Prior art keywords
- action
- devices
- access
- control application
- network
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
Abstract
본 발명은, UPnP 네트워크에서 디바이스에 대한 액세스 권한 설정과 디바이스간의 인증을 위한 방법 및 장치에 관한 것으로서, 본 발명에 의한 방법은, 보안 콘솔(Security Console)과 같은 보안 어플리케이션이 컨트롤 포인트(Control Point)와 같은 제어 어플리케이션을 인증하면, 그 인증된 정보에 기반하여, 상기 제어 어플리케이션이 네트워크에 있는 UPnP 디바이스에 대해 보안이 수반되는 서비스에 대한 액션, 예를 들어 암호의 획득 또는 설정과 같은 액션을 요청한다.
홈네트워크, 인증, 액세스, 권한, 제어, UPnP
Description
도 1은 통상적인 UPnP AV 네트워크의 구성도이고,
도 2는 원격 UI( User Interface )를 지원하는 UPnP 네트워크의 구성도이고,
도 3은 서버와 클라이언트간의 일반적인 인증 방법을 도시한 것이고,
도 4는 본 발명의 일 실시예에 따라, 보안 콘솔이 컨트롤 포인트에 대한 액세스 권한을 설정하는 과정을 도시한 것이고,
도 5는 본 발명의 일 실시예에 따라, 컨트롤 포인트를 매개로 디바이스간의 인증이 이루어지는 과정을 도시한 것이고,
도 6은 본 발명의 다른 일 실시예에 따라, 컨트롤 포인트를 매개로 디바이스간의 인증이 이루어지는 과정을 도시한 것이고,
도 7 내지 도 9는 본 발명의 실시예에 따라, 컨트롤 포인트와 디바이스간의 암호 전달을 위한 액션의 구조를 예시한 것이다.
* 도면의 주요부분에 대한 부호 설명 *
400: 보안 콘솔 410: 컨트롤포인트(CP)
420: 디바이스 510,610: 클라이언트(client)
520,620: 서버(server) 530,630: 컨트롤포인트
본 발명은, UPnP 네트워크와 같은 홈 네트워크에서의 각 디바이스에 대한 액세스 권한 설정과 각 디바이스간의 인증을 위한 방법 및 장치에 관한 것이다.
한 가정 내에 다양한 영상기기 및 오디오 기기, 그리고 PC와 같은 전자기기 들이 보급되고, 영상 및 오디오 신호도 디지털화되어 송신되면서 전자기기 간의 통신 및 외부 네트워크와의 통신의 필요성이 증대되고 있다. 또한, 한 가정 내에 전자기기들이 다수 존재함으로 인해 이 들에 대한 동작 제어도 하나의 기기, 예를 들면 PDA와 같은 이동성 기기에서 집중하여 행하고자 하는 욕구도 함께 증대되고 있다.
이와 같은 욕구에 부응하기 위해, 댁내의 DVD 플레이어, 디지털 텔레비전 등과 같은 가전기기들을 연결하는 홈 네트워킹이 부각되고 있으며, 이러한 홈 네트워킹의 하나로서 UPnP(Universal Plug and Play) 기술이 제안되었다.
UPnP 기술은 분산 및 개방 네트워킹 구조를 기반으로 하여 IP, HTTP 등과 같은 표준 네트워킹 기술을 채택함으로써, 네트워크에 연결되는 장치의 운영체제, 플랫폼(platform) 및 전송매체에 독립적으로 동작할 수 있도록 규정하고 있다.
UPnP 기술은 네트워크에 존재하는 디바이스(device)를 자동으로 발견하고, 해당 디바이스의 서비스에 대해서 액션과 상태변수로 모델링하여, 컨트롤포인트(CP : Control Point)가 이용하거나 다른 디바이스가 그 서비스를 이용할 수 있도록 하는 기술이다. 상기 컨트롤 포인터(CP)는 하나의 어플리케이션(application)으로서 다른 서비스를 수행하는 UPnP 디바이스에 함께 탑재될 수 있다. 그리고, 이러한 CP는 댁내에서 여러 개의 디바이스에 각각 탑재될 수도 있다.
한편, UPnP 기술에서는 CP와 디바이스 사이에 인증 및 보안(security)기능도 제공되는 데, 이 보안 기능은 다양한 암호화 기술을 이용하여, 상호간에 교환되는 메시지에 행해지는 암호화는 물론, 메시지의 식별정보(Identification), 그리고 메시지의 인증정보( 예를 들어, 송신자격 등 )도 요구된다.
예를 들어, 도 1에서 AV 컨트롤포인트(130)가 AV 미디어 렌더러(110)와 AV 미디어 서버(120) 각각을 인증하여 이 인증을 기반으로 상기 디바이스(110)(120) 사이에 보안기능을 기반으로 메시지 전송을 수행하게 된다.
또한, 도 2의 원격 사용자 인터페이스(RemoteUI:Remote User Interface)를 지원하는 CP가 접속된 UPnP 네트워크에서도 RemoteUI 컨트롤포인트(230)가 RemoteUI 클라이언트(210)와 RemoteUI 서버(220) 각각을 인증하며 이 인증을 기반으로 상기 디바이스(210)(220)와 보안기능을 기반으로 메시지 전송을 수행하게 된다.
그런데, 도 1 및 2에 예시된 네트워크상에서, 미디어 서버(120 또는 220)에 있는 컨텐츠에 대해 미디어 렌더러(Renderer)(110 또는 210)가 액세스하고자 할 때에도 인증이 필요하다. 이는 서버(120 또는 220)에 있는 컨텐츠를 개별 또는 그룹별로 달리하여 볼 수 있는 권한을 부여할 수 있기 때문이다. 이와 같이, 디바이스 간의 인증에 대해서는 UPnP에서 규정하는 바가 없어 서버상의 컨텐츠를 억세스하기 위해서는 도 3에 도시한 바와 같이, 클라이언트(310)가 서버(320)에 식별명(ID)과 암호(Password)를 전송하고 이를 기반으로 접근을 허용하는 통상의 인증방법이 사용될 수 있다.
하지만, 도 3과 같은 통상의 방법은, CP와 디바이스간에 수행되는 강력한 인증/보안기능에 비해 상대적으로 매우 취약하다는 문제점이 있어서, 상기의 방법을 사용한다면, 네트워크에 정당하게 연결되는 권한이 없는 디바이스가 타 디바이스의 서비스에 접근할 수 있는 여지가 있다.
한편, 앞서 언급한 바와 같이 UPnP 네트워크에는 복수개의 CP가 존재할 수 있으므로, UPnP 네트워크에 접속되어 있는 여러 인증된 디바이스들에 각각의 CP가 독립적으로 제어 및/또는 조회를 위한 액션을 요청할 수 있다. 이와 같이 홈 네트워크상의 디바이스들에 대한 제어권이 분산되면 사용자는 각 디바이스의 서비스 관리나 이용에 있어서 혼란을 초래할 수 있다. 따라서, 각 CP들의 각 디바이스 및/또는 그 디바이스의 서비스에 대한 이용 권한을 구분하여 설정할 필요가 있다.
본 발명은, 상기의 문제점을 개선하기 위하여 네트워크상에서 디바이스간의 컨텐츠 제공과 같은, 상호 액세스를 위한 인증을, 보안성이 보장되는 CP를 통해 이루어지도록 하는 인증 방법 및 장치를 제공함을 그 목적으로 한다.
본 발명의 다른 목적은, 임의의 디바이스나 어플리케이션이, 보안에 의한 인증이 있은 후에, 네트워크상의 디바이스가 제공하는 보안기반하의 서비스를 이용할 수 있게 하기 위한 방법 및 장치를 제공하는 것이다.
본 발명의 또 다른 목적은, 네트워크상에서 각 디바이스 및/또는 그 디바이스가 제공하는 서비스를 제어하는 복수의 어플리케이션, 예를 들어 CP들의 각 디바이스에의 이용권한을 설정하는 방법 및 장치를 제공하는 것이다.
상기의 목적을 달성하기 위한 본 발명은, 보안 어플리케이션이 제어 어플리케이션을 인증하면, 그 인증된 정보에 기반하여, 상기 제어 어플리케이션이 네트워크에 있는 디바이스의 보안이 수반되는 서비스에 대한 액션을 요청하는 것을 특징으로 한다.
또한, 본 발명은, 상기 보안 어플리케이션이, 임의 디바이스의 서비스에 대한 상기 제어 어플리케이션의 액세스 권한을 설정한 후에, 상기 제어 어플리케이션이 상기 임의 디바이스의 서비스에 대한 액세스 액션을 요청하는 것을 그 특징으로 한다.
본 발명의 일 실시예에서는, 상기 액세스 권한이, 상태변수의 조회허용, 설정허용, 그리고 모든 액션 허용의 그룹중 적어도 하나를 지정하는 형태로 설정된다.
본 발명의 일 실시예에서는, 상기 보안이 수반되는 서비스에 대한 액션으로서, 상기 디바이스에서 생성된 암호를 읽거나 상기 디바이스에 생성된 암호의 기록 을 요청하는 액션을 사용한다.
본 발명의 일 실시예에서는, 상기 생성된 암호는, 미디어 파일을 저장하고 있는 서버 디바이스와 상기 미디어 파일의 전송을 요청하는 클라이언트 디바이스간의 인증을 위해 사용된다.
또한, 본 발명의 일 실시예에서는, 상기 보안 어플리케이션에 의해 네트워크에 접속되어 있는 디바이스의 서비스에 대한 상기 제어 어플리케이션의 액세스 권한이 설정된 후, 그 설정된 권한에 근거하여, 생성된 암호의 읽기 및/또는 쓰기를 위한 액션을 요청한다.
본 발명의 일 실시예에서는, 상기 액세스 권한에 대한 정보를 상기 제어 어플리케이션에 설정하고, 설정된 권한정보는 디바이스의 서비스에 액션 요청할 때 제공된다.
본 발명의 다른 실시예에서는, 상기 액세스 권한에 대한 정보를 상기 디바이스에 설정한다.
또한, 본 발명의 일 실시예에서는, 상기 보안 어플리케이션에 의해 설정되는, 임의 디바이스의 서비스에 대한 상기 제어 어플리케이션의 액세스 권한은, 상기 임의 디바이스가 제공하는 서비스에 대한 모든 액션을 허용하는 것이다.
이하, 본 발명의 바람직한 실시예에 대해 첨부된 도면을 참조하여 상세히 설명한다.
먼저, UPnP 네트워크의 제어 어플리케이션, 예를 들어 컨트롤 포인트(CP)의 디바이스에의 접근 권한을 설정하는 방법에 대해, 도 4에 예시된 UPnP 네트워크를 참조하여 설명한다.
UPnP 보안기반의 통신을 위해, 제어 어플리케이션인 컨트롤 포인트(410)는 DeviceSecurity 서비스 액션을 호출할 수 있어야 하며, 디바이스(420)는 DeviceSecurity 서비스를 포함하고 있어야 한다.
상기 컨트롤포인트(410)는, 보안 어플리케이션인 보안 콘솔((SC:Secure Console)로부터 상기 디바이스를 액세스할 수 있는 권한을 지정하는 인증서를 발급 받는 방식에 의해 설정 받거나, 상기 보안 콘솔(400)이 각 CP의 상기 디바이스(420)에 대한 액세스 권한을 각각 지정하고 있는 권한서를 해당 디바이스(420)에 설정하는 방식에 의해 설정 받는다. 이와 같은 액세스 권한에 대한 설정은, 상기 보안 콘솔(400)이 UPnP의 보안기반하에 상기 컨트롤 포인트(410)를 인증(authentication)한 후에 수행된다. 각 디바이스의 서비스( 예를 들어, 접근 보안이 필요한 서비스 )에 대한 UPnP기반의 보안(secure) 액션을 요청하기 위해서는 이 인증이 필수적으로 수행되어야 한다. 이러한 인증절차는, 하기에서 설명하는, 임의 디바이스의 최초 네트워크에의 접속시에 이루어지는 과정과 동일 또는 유사하다.
상기 컨트롤 포인트와 보안 콘솔은 각각 독립적인 하나의 디바이스에 구축될 수도 있으며, 다른 서비스, 예를 들어 미디어 렌더링 서비스를 수행하는 디바이스에 함께 구축될 수도 있다. 이하에서는, 억세스 권한을 설정하는 방법에 대해서 상세히 설명한다.
억세스 권한의 설정 전에, 디바이스(420)가 UPnP 네트워크에 최초 접속되 면, 상기 보안 콘솔(400)이 감지하고 그 디바이스(420)의 소유자(owner)를 결정하기 위한 입력을 사용자에게 요청한다. 이 때 입력되는 정보는, 상기 디바이스(420)와 함께 제공되는 포장지 또는 매뉴얼과 같은 별지에 기록되어 있는 정보로서 이 정보를 확인한 사용자가 그 정보를 상기 보안 콘솔(400)에 그대로 입력하게 된다. 그러면, 그 정보를 상기 디바이스(420)에 제공하는 데, 상기 디바이스(420)는 그 제공된 정보가 자신에게 기록되어 있는 정보와 일치하면 그 정보를 제공한 보안 콘솔(400)을 소유자로 설정하고, 상기 보안 콘솔(400)은 필요한 인증절차, 예를 들어 서명자 정보, 암호화를 위한 키값 등의 교환 및 공유 등을 위한 동작을 행한다. 소유자로 설정된 어플리케이션, 즉 보안 콘솔(400)은 제한없이 상기 디바이스(400)에 모든 유형의 액세스가 가능하다.
이 과정이 종료되면, 네트워크상에서 실행되고 있는 컨트롤 포인트의 상기 접속된 디바이스(420)에 대한 액세스 권한이 설정된다.
컨트롤 포인트가 권한 인증서를 보안 콘솔로부터 발급받는 실시예에 대해 먼저 설명하면, 상기 보안 콘솔(400)은 제공된 UI를 통해 사용자가 설정하는 각 CP에 대한 상기 디바이스(420) 또는 그 디바이스가 제공하는 서비스에 대한 억세스 허용정보에 근거하여, 상기 CP(410)를 포함한 모든 CP들에 권한 인증서를 송신한다(S401). 이 권한 인증서에는, 서명자, 즉, 보안 콘솔 식별정보, 서명날짜, 상기 디바이스(420) 또는 그 디바이스가 제공하는 서비스에 대한 액세스 권한( 예를 들면, 읽기 쓰기 또는 수정 등의 권한, 또는 요청가능한 액션의 유형 등 ), 그리고 키값을 포함할 수 있다.
이 권한 인증서는 상기 CP(410)에 저장되며, 저장된 권한 인증서는 상기 디바이스(420)가 제공하는 보안기반하의 서비스에 액션 을 요청할 때 함께 제공된다(S402). 예를 들어, 상기 권한 인증서에 상기 디바이스(420)에의 읽기만 가능하도록 설정되어 있는 경우, 쓰기 동작이 수반되는 액션을 상기 권한 인증서와 함께 상기 디바이스(420)에 요청하게 되면, 상기 디바이스(420)는 권한 인증서를 공용 키(public key) 값으로 확인한 다음 그 액션을 거부하게 된다. 또한, 권한 인증서가 없이 액션이 요청되는 경우에는 상기 디바이스(420)는 어떠한 서비스에 대해서도 거부하게 된다. 즉, 상기 보안 콘솔(400)에 의해 액세스 권한이 설정되지 않은 CP는 송신할 권한 인증서가 없으므로 상기 디바이스(420)에 대한 어떠한 액세스도 불가능하게 된다.
권한 인증서를 수신하지 못하면 보안기반하의 서비스에 대한 접근이 거부되므로, CP에 권한 인증서를 송신하는 과정이 곧 CP의 인증과정이 될 수도 있다.
다음으로, 각 컨트롤 포인트의 액세스 권한서를 디바이스가 발급받는 실시예에 대해 설명하면, 앞서 설명한 바와 같이, 제공된 UI를 통해 새로이 접속된 상기 디바이스(420) 또는 그 디바이스가 제공하는 서비스에 대한 액세스 정보가 입력되면, 그 입력된 정보에 기반하여 상기 디바이스(420)에 대한 하나의 권한서(450)를 구성하여 UPnP의 보안기반하에 상기 디바이스(420)에 송신하여(S410) 설정케 한다. 이 권한서에는 해당 디바이스( 또는 그 디바이스의 서비스 )에 대한 각 CP들의 억세스 가능 형태를 정하고 있다.
이 실시예에서는, 각 CP들의 억세스 권한이 각 디바이스에 설정되므로, 앞 서의 실시예에서와 같이 CP가 디바이스( 또는 서비스 )에 액션을 요청할 때 자신의 액세스 권한을 제공할 필요가 없다. 임의 CP로부터 액션이 요청되면, 기 설정된 권한서(450)와, 요청 CP와 그 액션에 필요한 액세스 유형에 근거하여 요청한 서비스에 대한 액션을 거부하거나 수행하게 된다.
상기 보안 콘솔(400)에 의해 액세스 권한이 정해져 있지 않은 CP는 상기 권한서(450)에 표시되지 않으므로, 이러한 CP로부터의 상기 디바이스(420)에의 서비스 요청 액션은 당연히 거부된다. 즉, CP가 특정 디바이스 또는 그 디바이스가 제공하는 서비스에 대한 액션을 요청하기 위해서는 반드시 상기 보안 콘솔(400)에 의해 먼저 액세스 권한이 설정되어야 한다.
한편, 상기 컨트롤포인트(410)가 보안기반하에, 상기 디바이스(420)를 제어 및/또는 조회하기 위해 액션을 호출하기 위한 동작은 다음과 같다.
먼저, 상기 컨트롤포인트(410)와 디바이스(420) 사이에 프라이빗(private) 키와 공용 키를 상호 교환하여 키값에 기반한 안전한(secure)한 통신채널을 확보한다. 이후, 상기 컨트롤포인트(410)는 디바이스(420)에 보내려는 액션 요청(Action Request)에 전자 서명을 수행하고, 서명한 액션을 프라이빗 키값을 사용하여 암호화하여, DecryptAndExecute 액션의 입력변수(argument)로 만들어서 상기 디바이스(420)에 전달하고, 상기 디바이스(420)는 이미 받은 공용키값을 사용하여 암호화된 입력변수를 해독한다.
이하에서는, 컨트롤포인트(CP)와 각 디바이스간에 UPnP 보안(Security)을 통한 인증 및 권한이 설정되어 있는 상태에서 디바이스간의 상호 접속/통신을 허락 하기 위해서 필요한 인증 방법의 실시예에 대해서 상세히 설명한다.
도 5는 본 발명에 따른, 1회용 암호(one-time password)가 사용되는 실시예를 도시한 것으로서, 1회용 암호가, 상호 통신을 수행하고자 하는 양 디바이스 중 사용자 인증을 필요로 하는 디바이스, 예를 들어 서버(520)에서 생성되어 컨트롤 포인트(530), 예를 들어 보안 인에이블(enable)된 RemoteUI CP에 제공된다. 이를 상세히 설명한다.
먼저, 상기 서버(520)는 한번만 사용 가능한 암호를 생성한다(S501). 이 때, 생성된 암호는 양 디바이스간의 인증 후에는 폐기되기 때문에 차후에 동일 암호로 양 디바이스의 어느 한쪽이 다른 쪽에 접속되는 것을 막는다. UPnP 보안기반하의 상기 CP(530)는 상기 서버(520)가 생성한 암호를 도 7의 GetSecret 액션을 통해 도 8에 정의된 바와 같이 Secret 출력변수 형태로 받아온다(S502). 즉, 상기 CP(530)가 GetSecret 액션을 호출하면, 상기 서버(520)는 자신이 생성한 일회용 암호를 출력변수 Secret에 담아서 상기 CP(530)에 응답함으로써 1회용 암호를 전달한다. 상기 일회용 암호는 상태변수로서 관리되므로, 상기 GetSecret 액션은 상태변수 조회 액션이 된다.
도 7에 예시된 액션에 대한 'Req'(Required)의 마크는, 본 발명에 따른, CP와 디바이스간의 보안 경로를 통한 디바이스간의 승인을 위해서는 도 7에 예시된 액션이 반드시 필요하다는 것을 의미한다.
상기 CP(530)는 상기 서버(520)로부터 받아온 암호를, 도 9에 도시된 Secret 입력변수에 담아서, 도 7의 SetSecret 액션을 통해 클라이언트(510), 예를 들어 미디어 렌더러에게 전달해준다(S503). 상기 클라이언트(510)는 전달받은 암호를 상태변수로서 설정하므로, 상기 SetSecret 액션은 상태변수 설정( 또는 변경 ) 액션이 된다.
한편, 상기 GetSecret, SetSecret 액션의 호출문은 앞서 언급한 바와 같이 모두 암호화 되어, 호출 디바이스의 DeviceSecurity 서비스의 DecryptAndExecute 액션의 아규먼트(argument) 형태로 전달한다. 상기 액션 호출문은 설정된 private 키값으로 암호화한다.
이에 따라, 상기 클라이언트(510)는 CP(530)를 통해 전달받은 암호를 상기 서버(520)에 전송하고 상기 서버(520)는 자신이 생성한 1회용 암호와 비교함으로써 상기 클라이언트(510)의 인증을 수행한다(S504, S505).
즉, 상기 서버(520)가 암호를, 상기 CP(530)를 경유하여 강력한 보안이 작동하는 안전한 채널을 통해 상기 클라이언트(510)로 전달하고 그 전달된 암호를 클라이언트(510)로부터 다시 받아 생성한 암호와 비교함에 의해 인증함으로써, 두 디바이스 간의 정당한 연결 유무를 안전하게 확인할 수 있다.
상기의 실시예에서는, 1회용 암호를 통한 양 디바이스간의 인증을 위해, 상기 컨트롤 포인트(530)가 상기 서버(520)에 대해서는 get 액션을, 상기 클라이언트(510)에 대해서는 set 액션을 수행하므로, 전술한 보안 콘솔(400)의 각 디바이스에 대한 상기 CP(530)의 액세스 권한을 설정하는 단계에서, 상기 서버(520)에 대해서는 적어도 읽기 권한이, 상기 클라이언트(510)에 대해서는 적어도 쓰기 권한이 설정되어야 한다.
다르게는, 상기 보안 콘솔(400)이 양 디바이스(510,520)에 대한 상기 CP(530)의 액세스 권한 설정단계에서, 상기 양 디바이스(510,520)가 제공하는 모든 서비스에 대한 모든 액션을 허용하는 형태로 권한을 설정할 수도 있다. 또 다르게는, 상기 서버(520)에 대해서는, GetSecret 액션을 허용 액션 리스트에 포함시키고, 상기 클라이언트(510)에 대해서는, SetSecret 액션을 허용 액션 리스트에 포함시키는 방식으로 액세스 권한을 설정할 수도 있다.
본 발명에 따른 또 다른 실시예는, 상기 액세스 권한이 디바이스의 제공자(vendor)가 프로파일(profile)형태로 제공함으로써 설정될 수도 있다.
도 6은 본 발명에 따른, 1회용 암호(one-time password)가 사용되는 다른 실시예를 도시한 것으로서, 1회용 암호가, 컨트롤 포인트에서 생성되어 상호 통신을 수행코자 하는 양 디바이스에 제공된다. 이를 상세히 설명한다.
먼저, UPnP 보안 기반하의 CP(610)는 한번만 사용 가능한 암호를 생성한다(S601). 그리고, 클라이언트(610)와 서버(620)에게, 도 7의 SetSecret 액션을 통해 도 9의 Secret 입력변수에 담아서 각각 전달한다(S603,S602).
이 때도, 역시 SetSecret 액션의 호출은 앞서 언급한 바와 같이 모두 암호화되어 호출 디바이스의 DeviceSecurity 서비스의 DecryptAndExecute 액션의 아규먼트 형태로 전달된다.
이에 따라, 상기 클라이언트(610)는 상기 CP(630)를 통해 전달받은 암호를 상기 서버(620)에 전송함으로써 상기 클라이언트(610)와 상기 서버(620) 간의 인증이 수행된다(S604, S605).
즉, 상기 클라이언트(610)가 상기 CP(630)로부터 전달받은 암호를 상기 서버(620)로 전달하고 상기 서버(620)가 그 암호를 상기 CP(630)로부터 전달받은 암호와 비교함에 의해 인증함으로써, 두 디바이스 간의 정당한 연결 유무를 안전하게 확인할 수 있다.
상기의 실시예에서는, 1회용 암호를 통한 양 디바이스간의 인증을 위해, 상기 컨트롤 포인트(630)가 상기 서버(620)와 상기 클라이언트(610)에 대해서 set 액션( 상태변수 설정(변경) 액션 )을 수행하므로, 전술한 보안 콘솔(400)의 각 디바이스에 대한 상기 CP(630)의 액세스 권한의 설정 단계에서, 상기 서버(620)와 상기 클라이언트(610)에 대해서는 적어도 쓰기 권한이 설정되어야 한다.
다르게는, 상기 보안 콘솔(400)이 양 디바이스(610,620)에 대한 상기 CP(630)의 액세스 권한을 설정하는 단계에서, 상기 양 디바이스(610,620)가 제공하는 모든 서비스에 대한 모든 액션을 허용하는 형태로 권한을 설정할 수도 있다. 또 다르게는, 상기 서버(620)와 상기 클라이언트(610)의 각각에 대해서, SetSecret 액션을 허용 액션 리스트에 포함시키는 방식으로 액세스 권한을 설정할 수도 있다.
결론적으로, 본 발명에서는 이미 컨트롤포인트(CP)와 각 디바이스간에 UPnP 보안(Security)을 통한 안전한 채널이 확보 되어 있는 경우, 양 디바이스간의 상호 접속을 위해 필요한 인증을 상기 안전한 채널을 통해 수행하는 것이다.
지금까지 상세히 설명한 본 발명에 의하면, 네트워크에 디바이스들의 제어/ 조회를 수행하는 복수의 컨트롤포인트들에 대해 디바이스의 액세스 권한을 적절히 설정할 수 있어 네트워크의 디바이스 제어에 있어서 관리의 편리성과 효율성을 높일 수 있다.
또한, 컨트롤 포인트와 각 디바이스간의 강력한 보안채널을 통해 양 디바이스간에 인증을 수행함으로써, 디바이스간의 접속 및/또는 통신에 안전성과 신뢰성을 담보할 수 있다. 더불어, 양 디바이스간의 인증을 위해 1회용 암호를 사용함으로써 암호 누출의 경우에도 다음 접속/연결시에는 새로운 암호가 사용되므로 문제가 되지 않는다.
본 발명은 전술한 전형적인 바람직한 실시예에만 한정되는 것이 아니라 본 발명의 요지를 벗어나지 않는 범위 내에서 여러 가지로 개량, 변경, 대체 또는 부가하여 실시할 수 있는 것임은 당해 기술분야에 통상의 지식을 가진 자라면 용이하게 이해할 수 있을 것이다. 이러한 개량, 변경, 대체 또는 부가에 의한 실시가 이하의 첨부된 특허청구범위의 범주에 속하는 것이라면 그 기술사상 역시 본 발명에 속하는 것으로 보아야 한다.
Claims (32)
- 네트워크에 접속된 적어도 하나의 디바이스에 대한 제어 어플리케이션의 액세스를 위한 방법에 있어서,상기 제어 어플리케이션를 포함하는 상기 네트워크상에서 수행되는 복수의 제어 어플리케이션의, 상기 디바이스가 제공하는 적어도 하나의 서비스에 대한 액세스 권한을 정의하는 권한서를 보안 어플리케이션이 상기 디바이스에 송신하여 설정하는 1단계와,상기 제어 어플리케이션이 상기 디바이스가 제공하는 상기 적어도 하나의 서비스에 대한 액세스 액션을 요청하는 2단계를 포함하여 이루어지되,상기 권한서는, 각 제어 어플리케이션별로 상기 디바이스의 서비스에 대한 허용 액세스 형태를 정의하고 있는 것을 특징으로 하는 방법.
- 제 1항에 있어서,상기 설정되는 액세스 권한은, 상태변수의 조회허용 또는 설정허용, 그리고 모든 액션 허용의 그룹중 적어도 하나를 지정하는 것임을 특징으로 하는 방법.
- 삭제
- 제 1항에 있어서,상기 보안 어플리케이션은, 상기 디바이스의 상기 네트워크에의 최초 접속 시에, 상기 네트워크상에서 수행되는 적어도 하나의 제어 어플리케이션의, 상기 디바이스가 제공하는 적어도 하나 이상의 서비스에 대한 액세스 권한을 설정하는 것을 특징으로 하는 방법.
- 제 1항에 있어서,상기 액세스 권한은 사용자가 상기 보안 어플리케이션에 입력하는 정보에 근거하여 정해지는 것을 특징으로 하는 방법.
- 삭제
- 삭제
- 삭제
- 삭제
- 삭제
- 제 2항에 있어서,상기 상태변수중 하나는 상기 디바이스 또는 상기 제어 어플리케이션에서 생성된 1회용 암호인 것을 특징으로 하는 방법.
- 제 1항에 있어서,상기 2단계에서 요청되는 액션은, 상기 디바이스에서 생성된 암호를 읽기 위한 액션을 포함하는 것을 특징으로 하는 방법.
- 제 12항에 있어서,상기 생성된 암호를 읽기 위한 액션이 요청되는 디바이스는, 미디어 파일들 을 저장하고 있는 서버 디바이스인 것을 특징으로 하는 방법.
- 제 1항에 있어서,상기 2단계에서 요청되는 액션은, 상기 제어 어플리케이션에서 생성된 또는 외부로부터 수신된 암호를 상기 디바이스에 기록하기 위한 액션을 포함하는 것을 특징으로 하는 방법.
- 제 14항에 있어서,상기 암호가 기록되는 액션이 요청되는 디바이스는, 미디어 파일이 저장되어 있는 서버 디바이스 및/또는 상기 서버 디바이스에 미디어 전송을 요청하는 클라이언트 디바이스인 것을 특징으로 하는 방법.
- 삭제
- 삭제
- 삭제
- 복수의 디바이스가 서로 네트워크된 장치에 있어서,상기 복수의 디바이스 및/또는 그 디바이스가 제공하는 서비스에 대한 제어 및/또는 조회 액션을 요청하기 위한, 상기 복수의 디바이스 중 임의의 디바이스에서 실행되는 제어 어플리케이션과,상기 제어 어플리케이션를 포함하는 상기 네트워크상에서 수행되는 복수의 제어 어플리케이션의, 상기 복수의 디바이스의 서비스에 대한 액세스 권한을 설정하기 위한 보안 어플리케이션을 포함하여 구성되되,상기 설정되는 액세스 권한은, 각 제어 어플리케이션별로 상기 디바이스의 서비스에 대해 허용되는 액세스 형태를 지정하는 것임을 특징으로 하는 장치.
- 제 19항에 있어서,상기 보안 어플리케이션은, 상기 제어 어플리케이션의 액세스 권한을, 상태변수의 조회허용, 설정허용, 그리고 모든 액션 허용의 그룹중 적어도 하나를 지정하는 형태로 설정하는 것을 특징으로 하는 장치.
- 삭제
- 삭제
- 삭제
- 삭제
- 제 19항에 있어서,상기 보안 어플리케이션은, 디바이스가 네트워크에 최초 접속시에 그 디바이스가 제공하는 서비스에 대한 상기 모든 제어 어플리케이션의 액세스 권한을 정의하는 권한서를 상기 최초 접속된 디바이스에 송신하여 설정하는 것을 특징으로 하는 장치.
- 삭제
- 제 19항에 있어서,상기 제어 어플리케이션은, 상기 설정된 권한에 근거하여 상기 복수의 디바이스중 하나의 디바이스가 제공하는 서비스에 대해 허용된 액션을 요청하는 것을 특징으로 하는 장치.
- 제 27항에 있어서,상기 요청되는 액션은, 상기 복수의 디바이스 중 하나에서 생성된 1회용 암호를 읽기 위한 액션을 포함하는 것을 특징으로 하는 장치.
- 제 28항에 있어서,상기 생성된 암호를 읽기 위한 액션이 요청되는 디바이스는, 미디어 파일들을 저장하고 있는 서버 디바이스인 것을 특징으로 하는 장치.
- 제 27항에 있어서,상기 요청되는 액션은, 상기 제어 어플리케이션에서 생성된 또는 외부로부터 수신된 1회용 암호를 상기 복수의 디바이스 중 하나에 기록하기 위한 액션을 포함하는 것을 특징으로 하는 장치.
- 제 30항에 있어서,상기 암호가 기록되는 액션이 요청되는 디바이스는, 미디어 파일이 저장되어 있는 서버 디바이스 및/또는 상기 서버 디바이스에 미디어 전송을 요청하는 클라이언트 디바이스인 것을 특징으로 하는 장치.
- 삭제
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR20040044696 | 2004-06-16 | ||
| KR1020040044696 | 2004-06-16 |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020050046638A Division KR100820669B1 (ko) | 2004-06-16 | 2005-06-01 | 네트워크상에서의 디바이스에 대한 액세스 권한 설정과디바이스간의 인증을 위한 방법 및 장치 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20060092864A KR20060092864A (ko) | 2006-08-23 |
| KR100820671B1 true KR100820671B1 (ko) | 2008-04-10 |
Family
ID=35481932
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020050046638A KR100820669B1 (ko) | 2004-06-16 | 2005-06-01 | 네트워크상에서의 디바이스에 대한 액세스 권한 설정과디바이스간의 인증을 위한 방법 및 장치 |
| KR1020050082247A KR100820671B1 (ko) | 2004-06-16 | 2005-09-05 | 네트워크상에서의 디바이스에 대한 액세스 권한 설정과디바이스간의 인증을 위한 방법 및 장치 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020050046638A KR100820669B1 (ko) | 2004-06-16 | 2005-06-01 | 네트워크상에서의 디바이스에 대한 액세스 권한 설정과디바이스간의 인증을 위한 방법 및 장치 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20050283618A1 (ko) |
| EP (1) | EP1757013A4 (ko) |
| KR (2) | KR100820669B1 (ko) |
| CN (1) | CN101006679A (ko) |
| WO (2) | WO2005125091A1 (ko) |
Families Citing this family (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100631708B1 (ko) * | 2004-06-16 | 2006-10-09 | 엘지전자 주식회사 | 푸쉬 투 토크 서비스를 제공하는 단말기, 푸쉬 투 토크 서비스를 이용한 친구 소개 시스템 및 그 방법 |
| JP4027360B2 (ja) * | 2004-11-08 | 2007-12-26 | キヤノン株式会社 | 認証方法及びシステムならびに情報処理方法及び装置 |
| US8219829B2 (en) * | 2005-12-08 | 2012-07-10 | Intel Corporation | Scheme for securing locally generated data with authenticated write operations |
| WO2007066542A1 (ja) * | 2005-12-09 | 2007-06-14 | Hitachi Software Engineering, Co., Ltd. | 認証システム及び認証方法 |
| JP2007188184A (ja) * | 2006-01-11 | 2007-07-26 | Fujitsu Ltd | アクセス制御プログラム、アクセス制御方法およびアクセス制御装置 |
| US7822863B2 (en) * | 2006-05-12 | 2010-10-26 | Palo Alto Research Center Incorporated | Personal domain controller |
| KR100853183B1 (ko) * | 2006-09-29 | 2008-08-20 | 한국전자통신연구원 | UPnP AV 네트워크 상에서 안전한 홈 AV 서비스를제공하기 위한 방법 및 시스템 |
| US8984279B2 (en) | 2006-12-07 | 2015-03-17 | Core Wireless Licensing S.A.R.L. | System for user-friendly access control setup using a protected setup |
| DE602007002978D1 (de) * | 2007-02-27 | 2009-12-10 | Lucent Technologies Inc | Drahtloses Kommunikationsverfahren zur Steuerung eines mittels Sicherheitsvorrichtung gewährten Zugangs |
| KR101573328B1 (ko) * | 2008-04-21 | 2015-12-01 | 삼성전자주식회사 | 암호화된 제어 정보를 획득하는 홈 네트워크 제어 장치 및 그 방법 |
| CN102882830B (zh) * | 2011-07-11 | 2016-06-08 | 华为终端有限公司 | 媒体资源访问控制方法和设备 |
| FR2978891B1 (fr) * | 2011-08-05 | 2013-08-09 | Banque Accord | Procede, serveur et systeme d'authentification d'une personne |
| CN103812828B (zh) | 2012-11-08 | 2018-03-06 | 华为终端(东莞)有限公司 | 处理媒体内容的方法、控制设备、媒体服务器和媒体播放器 |
| IN2013CH06149A (ko) * | 2013-12-30 | 2015-07-03 | Samsung Electronics Co Ltd | |
| EP3399783B1 (en) * | 2015-12-28 | 2021-09-15 | Sony Group Corporation | Information processing device and system |
| KR102188862B1 (ko) * | 2019-05-30 | 2020-12-09 | 권오경 | 컨텐츠 월렛, 단말 장치 및 이들을 포함하는 컨텐츠 판매 시스템 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20040001826A (ko) * | 2002-06-28 | 2004-01-07 | 주식회사 케이티 | 인증서를 이용한 타이틀 재생 제어 방법 |
| KR20040021305A (ko) * | 2002-09-03 | 2004-03-10 | 엘지전자 주식회사 | UPnP 네트워크의 원격지 보안 접속 시스템 및 방법 |
| KR20050032856A (ko) * | 2003-10-02 | 2005-04-08 | 삼성전자주식회사 | 공개 키 기반 구조의 도메인을 형성하여 UPnP를통하여 구현하는 방법 |
| US20050188193A1 (en) | 2004-02-20 | 2005-08-25 | Microsoft Corporation | Secure network channel |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6678731B1 (en) * | 1999-07-08 | 2004-01-13 | Microsoft Corporation | Controlling access to a network server using an authentication ticket |
| US20020013831A1 (en) * | 2000-06-30 | 2002-01-31 | Arto Astala | System having mobile terminals with wireless access to the internet and method for doing same |
| EP1410212B1 (en) * | 2001-07-24 | 2016-04-13 | Fiberlink Communications Corporation | Wireless access system, method, apparatus, and computer program product |
| US20030163692A1 (en) * | 2002-01-31 | 2003-08-28 | Brocade Communications Systems, Inc. | Network security and applications to the fabric |
| WO2006066052A2 (en) * | 2004-12-16 | 2006-06-22 | Sonic Solutions | Methods and systems for use in network management of content |
-
2005
- 2005-06-01 KR KR1020050046638A patent/KR100820669B1/ko not_active IP Right Cessation
- 2005-06-15 EP EP05753762.3A patent/EP1757013A4/en not_active Withdrawn
- 2005-06-15 CN CNA2005800278603A patent/CN101006679A/zh active Pending
- 2005-06-15 WO PCT/KR2005/001824 patent/WO2005125091A1/en active Application Filing
- 2005-06-15 WO PCT/KR2005/001823 patent/WO2005125090A1/en active Application Filing
- 2005-06-15 US US11/154,025 patent/US20050283618A1/en not_active Abandoned
- 2005-09-05 KR KR1020050082247A patent/KR100820671B1/ko not_active IP Right Cessation
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20040001826A (ko) * | 2002-06-28 | 2004-01-07 | 주식회사 케이티 | 인증서를 이용한 타이틀 재생 제어 방법 |
| KR20040021305A (ko) * | 2002-09-03 | 2004-03-10 | 엘지전자 주식회사 | UPnP 네트워크의 원격지 보안 접속 시스템 및 방법 |
| KR20050032856A (ko) * | 2003-10-02 | 2005-04-08 | 삼성전자주식회사 | 공개 키 기반 구조의 도메인을 형성하여 UPnP를통하여 구현하는 방법 |
| US20050188193A1 (en) | 2004-02-20 | 2005-08-25 | Microsoft Corporation | Secure network channel |
Also Published As
| Publication number | Publication date |
|---|---|
| KR20060092864A (ko) | 2006-08-23 |
| US20050283618A1 (en) | 2005-12-22 |
| KR100820669B1 (ko) | 2008-04-10 |
| CN101006679A (zh) | 2007-07-25 |
| EP1757013A1 (en) | 2007-02-28 |
| WO2005125090A1 (en) | 2005-12-29 |
| WO2005125091A1 (en) | 2005-12-29 |
| KR20060046362A (ko) | 2006-05-17 |
| EP1757013A4 (en) | 2014-05-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR100820671B1 (ko) | 네트워크상에서의 디바이스에 대한 액세스 권한 설정과디바이스간의 인증을 위한 방법 및 장치 | |
| US11153081B2 (en) | System for user-friendly access control setup using a protected setup | |
| US9032215B2 (en) | Management of access control in wireless networks | |
| US20050283619A1 (en) | Managing access permission to and authentication between devices in a network | |
| US9325714B2 (en) | System and methods for access control based on a user identity | |
| KR100769674B1 (ko) | 홈 네트워크에서 디바이스의 공개키 인증 방법 및 시스템 | |
| EP1855440B1 (en) | Personal domain controller | |
| KR101662838B1 (ko) | 홈 네트워크에서 제어 포인트 장치가 피제어 장치의 보안을 설정하기 위한 시스템 및 방법 | |
| EP2382830B1 (en) | Multi-mode device registration | |
| TW200828944A (en) | Simplified management of authentication credientials for unattended applications | |
| US20160057141A1 (en) | Network system comprising a security management server and a home network, and method for including a device in the network system | |
| KR20110099287A (ko) | 네트워크 내의 2개의 장치 사이의 개인 식별 번호(pin) 생성 | |
| US9065656B2 (en) | System and methods for managing trust in access control based on a user identity | |
| Jeong et al. | Secure user authentication mechanism in digital home network environments | |
| Kim et al. | Light-weight Access Control Mechanism based on Authoricate issued for Smart Home | |
| CN117014844A (zh) | 通信方法、电子设备和存储介质 | |
| Shakhshir | IntuiSec: a framework for intuitive user interaction with security in the smart home |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A107 | Divisional application of patent | ||
| A201 | Request for examination | ||
| E902 | Notification of reason for refusal | ||
| E902 | Notification of reason for refusal | ||
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant | ||
| FPAY | Annual fee payment |
Payment date: 20120327 Year of fee payment: 5 |
|
| FPAY | Annual fee payment |
Payment date: 20130326 Year of fee payment: 6 |
|
| FPAY | Annual fee payment |
Payment date: 20160324 Year of fee payment: 9 |
|
| FPAY | Annual fee payment |
Payment date: 20170314 Year of fee payment: 10 |
|
| LAPS | Lapse due to unpaid annual fee |